黑基网站攻破网络的几种方法

网络信息安全是一个综合的、复杂的工程，任何网络信息安全对策都不能保证防患于未然。因此，对于一些重要的单位，如果网络遭受进攻，如何跟踪黑客攻击，查证到网络攻击并将其绳之以法，是十分必要的。

　　跟踪黑客攻击就是找到事件发生的根源。它有两个方面实际意义:一就是指发现ip地址、Mac详细地址或者认证的主机名;二就是指确定网络攻击的身份。网络网络攻击在执行进攻之际或之后，必定会留有一些真相，如登陆的记录，文件管理权限的改变等虚似直接证据，如何妥善处理虚似直接证据是跟踪黑客攻击的最大挑战。

　　在跟踪黑客攻击中另一个需要考虑的问题是:ip地址是一个虚拟注册地址而不是一个物理地址，ip地址非常容易被仿冒，绝大多数网络网络攻击采用ip地址蒙骗技术。这样跟踪到的进攻源是有误的。促使以ip地址为基础去发现网络攻击变得越来越困难。因此，必须采用一些方法，揭穿网络攻击的蒙骗，找到进攻源的真正ip地址。

　　★ netstat指令----实时查看文击者使用netstat指令可以获得所有连接被测服务器的网络用户的ip地址。Windows系列、Unix系列、Linux等常用网络操作系统都可以使用“netstat”指令。

　　使用“netstat”指令的缺陷是只能显示当前的连接，如果使用“netstat”指令时网络攻击没有连接，则无法发现网络攻击的足迹。因此，可以使用Scheduler建立一个日程安排，安排系统每过一定的时间使用一次“netstat”指令，并使用netstat>>textfile文件格式把每一次检查时得到的数据载入一个文本文档中，便于需要跟踪黑客攻击时使用。

　　★ 系统日志数据--最详细的进攻记录系统的系统日志数据提供了详细的账号登录信息。在跟踪黑客攻击时，这些数据是最直接的、有效的直接证据。但是有些系统的系统日志数据不完善，网络网络攻击也常会把自己的活动从系统日志中删掉。因此，需要采取防范措施，以保证系统日志数据的一致性。

　　Unix和Linux的系统日志Unix和Linux的系统日志文件较详细的记录了用户的各种活动，如登陆的Id的登录名、用户ip地址、服务器端口、登陆和撤出时间、每个Id最近一次登陆时间、登陆的终端设备、执行的指令，用户Id的账号信息等。通过这些信息可以提供ttyname(终端设备号)和源地址，是跟踪黑客攻击的最重要的数据。

　　绝大多数网络网络攻击会把自己的活动记录从曰记中删除，而且UOP和基于X Windows的活动往往不被记录，给追踪者带来困难。为了解决这个问题，可以在系统中运作wrapper工具，这个工具记录用户的服务恳求和所有的活动，且不容易被网络网络攻击发现，可以有效的防止网络网络攻击消除其活动记录。

　　Windows Nt和Windows 2000的系统日志Windows Nt和Windows 2000有系统日志、安全日志和手机应用程序系统日志等三个系统日志，而与安全相关的数据包括在安全日志中。安全日志记录了登陆用户的基本信息。安全日志中的数据是由配置所决定的。因此，应该根据安全需要合理进行配置，便于获得保证系统优化所必不可少的数据。

　　但是，Windows Nt和Windows 2000的安全日志存在重大缺点，它不记录事件的源，不可能根据安全日志中的数据跟踪网络攻击的源地址。为了解决这个问题，可以安装一个第三方的能够详细记录财务审计数据的工具。

服务器防火墙系统日志作为应用系统中的“堡垒主机”，服务器防火墙被网络网络攻击攻陷的概率要小得多。因此，相对来说服务器防火墙系统日志数据不太容易被改动，它的系统日志数据提供最理想的进攻源的源地址信息。

　　但是，服务器防火墙也不是不可能被攻克的，它的系统日志也可能被删掉和改动。网络攻击也应向服务器防火墙启动拒绝服务攻击，使服务器防火墙偏瘫或至少降低其速度使其无法对事件作出及时响应，进而毁坏服务器防火墙系统日志的一致性。因此，在使用服务器防火墙系统日志之前，应该运作维修工具检查服务器防火墙系统日志的一致性，防止得到不详细的数据，疏忽大意跟踪机会。

　　★ 初始数据文件----比较可靠的统计分析方法由于系统服务器都有被攻陷的可能，因此利用系统日志获得网络攻击的信息有时候也不可靠了。所以，捕捉初始数据文件并对其数据进行分析，是确定进攻源的另外重要的、比较可靠的方法。

　　呼和浩特数据分析表1是一个初始数据文件的iP呼和浩特数据。表格中的第一行是最有效的大数字。第一行的最后8位代表源地址。本例中的详细地址是0xd2、0x1d、0x84、0x96，对应的ip地址是210.45.132.150。通过分析初始数据文件的呼和浩特数据，可以获得比较可靠的网络网络攻击的ip地址，因为这些数据不会被删掉或改动。但是，这种方法也不是恰如其分的，如果网络攻击对其数据文件进行数据加密，对搜集到的数据文件的分析就没什么用途了。

　　表1 一个iP呼和浩特数据0x0000 45c0 c823 0000 d306 6002 2c06 d21d 84960x0010 22Ab b365 c234 0000 0000 4066 dd1d 88180x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de340x0030 9812 a5c6 0011 8386 9618 0000 a123 69070x0040 56c5 0023 3401 0000 5505 b1c5 0000 00000x0050 0000 0000 0000 0000 0000捕捉数据文件在一个互换网络空间下捕捉数据文件比较困难，这根本原因集线器和网络交换机在数据传输中实质的不同。集线器采用的是广播式传送，它不兼容连接，而是把包发送至除源端口号外的所有?丝冢爰咂飨嗔乃谢鞫伎梢圆痘竦酵ü氖莅６换个С侄说蕉说牧樱币桓鍪莅酱锸苯换个⒁桓鲈菔钡牧樱莅ü?个连接传入目的端口号。所以，在互换环境下抓包不是一件容易的事。为了获得互换环境下的数据文件，可以用下面方法解?

　　(1)把网络交换机的一个“spanning port”(转化成端口号)配置成象一个集线器一样，通过这个端口号的数据文件不再与目的服务器建立连接，而是广播式地发给与其端口号相接的所有设备。设置一个包捕捉服务器，便可以捕捉到通过“spaning port”的数据文件。但是，在相同時刻，网络交换机只能由一个端口号被设成“spanning port”，因此，不能同时捕捉几台服务器的数据文件。

　　(2)在网络交换机之间，或无线路由和网络交换机之间安装一个集线器。通过集线器的数据文件便可以被捕捉服务器捕捉。

　　再用捕捉数据文件获得网络攻击的源地址的方法中，有两个问题需要注意:一是保证包捕捉服务器由足够的储存空间，因为如果在捕捉数据文件时网络货运量很大的话，固态盘迅速会被铺满;二要在分析数据文件时，可定编一段小程序自动分析，手工制作分析那么多的数据是不可能的。

　　★ 搜索引擎----也许会有外的意外惊喜利用搜索引擎获得网络网络攻击的源地址，从理论上讲没什么根据，但是它往往会接到出乎意料的效果，给跟踪工作带来意外的惊喜。网络黑客们在Internet上往往有他们自己的虚拟社区，他们在那里探讨黑客攻击技术方法，同时显摆自己的战况。因此，在那边经常会曝露他们进攻源的信息甚至他们的身份。

　　利用搜索引擎跟踪网络网络攻击的ip地址就是使用一些好的搜索引擎(如搜狐网的搜索引擎)搜索网页，关键词搜索是进攻服务器所属网站域名、ip地址或主机名，看是否有贴子是关于对上述关键字所代表的设备进行进攻的。虽然网络网络攻击一般在发贴子时候使用仿冒的源地址，但也有很多人在这时候比较麻木而使用了真实的源地址。因此，往往可以用这种方法出现意外地发现网络网络攻击的足迹。

　　由于不能保证网络中贴子源地址的真实有效，所以，不加分析的使用可能会牵连到可怜的用户。然而，当与其方法结合在一起使用时，使用搜索引擎还是非常有效的。